Banner object (1)

Hack and Take the Cash !

756 bounties in database
20/06/2019
Tchap logo

Reward

Tchap

DINSIC

The DINSIC - direction interministérielle du numérique

et du système d’information et de communication

de l’État - is in charge of the digital transformation of French State, in all

its aspects:

  • modernization of the technical base,

  • creation of innovative public services,

  • open government ...

It provides support to public departments, advises the government and develops

shared resources such as the state's inter-ministerial network (RIE - Réseau

interministériel de l'état), FranceConnect Identity, data.gouv.fr or

api.gouv.fr.

Scope of this program

DINSIC is developing the Tchap instant-messaging application. It is a end-to-

end encrypted instant-messaging service dedicated to French administration. It

is available with an Android and an iOS application, and a web interface

available at https://www.tchap.gouv.fr. All of them exchange with the servers

through an API at https://matrix.agent.*.tchap.gouv.fr.

Our application is open source. The code can be found at

https://github.com/dinsic-pim/ for the clients and at

https://github.com/matrix-org for the server.

Reporting & Disclosure Policy

DINSIC believes that working with skilled security researchers across the

globe is crucial in identifying weaknesses in any technology. If you believe

you've found a security issue in our products or services, we encourage you to

notify us. We welcome working with you to resolve the issue promptly.

Let us know as soon as possible upon discovery of a potential security issue,

and we'll make every effort to quickly resolve the issue.

Provide us a reasonable amount of time to resolve the issue before any

disclosure to the public or a third-party.

Please avoid DDOSing us or causing any service disruption while testing our

platform. And take care of not endangering the privacy or our members.

Do not try to over exploit the bug and access internal data for further

vulnerabilities. We will determine the severity and reward accordingly.

If you find the same vulnerability several times, please create only one

report and eventually use comments. You'll be rewarded accordingly to your

findings.

Our application is open source. The code can be found at

https://github.com/dinsic-pim/ for the clients and at

https://github.com/matrix-org for the server. Please do not notify security

issues through github. Notifications of publicly available issues will not be

rewarded. Proposals of fix for security issues on the github will be

appreciated. Commit timing shall be discussed during the security issue

evaluation process. Additional credits can be attributed in case of accepted

pull request.

What is the sensitive information on the server (for a non Tchap

participant) :

  • Modification of a public keys of a user

  • All information from the database, i.e. meta-data.

What is the sensitive information in a private room (for a non-participant

to the room) :

  • All information: messages, meta-data and attachments.

  • Private keys

On mobiles :

Exploitation of vulnerabilities or misconception of the mobile application

(IOS & Android) allowing extraction of information about the user, his

messages or that may lead to deeper exploitation and compromission of the

Tchap application. Tchap information on the phone must be obtained via a

malware-free phone or rooted or jailbreaked phone, using the means and

permissions offered to any application.

What are sensitive information for Tchap mobile Application :

  • Private Key

  • Messages

  • Private room meta-data

Out of scope

Please note that www.tchap.gouv.fr is hosted by a third party and thus

vulnerabilities related to the host are out of the scope.

Any website that is not listed explicitly in the scope.

**Please note that we may modify the terms of this program or terminate it at

any time.**

French version

DINSIC

La DINSIC - direction interministérielle du numérique et du système

d'information et de communication

de l'État - est en charge de la transformation numérique de l'État français,

sous tous ses aspects :

  • la modernisation de la base technique,

  • la création de services publics innovants,

  • gouvernement ouvert ....

Il apporte son soutien aux services publics, conseille le gouvernement et

développe des ressources communes telles que le Réseau interministériel de

l'État (RIE), FranceConnect Identity, data.gouv.fr ou api.gouv.fr.

La portée de ce programme

DINSIC développe l'application de messagerie instantanée Tchap. Il s'agit d'un

service de messagerie instantanée cryptée de bout en bout dédié à

l'administration française. Il est accessible via une application Android et

une application iOS, et une interface web disponible sur

https://www.tchap.gouv.fr. Tous échangent avec les serveurs via une API sur

https://matrix.agent.*.tchap.gouv.fr.

Notre application est open source. Le code est disponible sur

https://github.com/dinsic-pim/ pour les clients et sur

https://github.com/matrix-org pour le serveur.

Politique sur les rapports et la communication de l'information

DINSIC croit qu'il est crucial de travailler avec des chercheurs qualifiés en

sécurité à travers le monde pour identifier les faiblesses de toute

technologie. Si vous pensez avoir trouvé un problème de sécurité dans nos

produits ou services, nous vous encourageons à nous le signaler. Nous sommes

heureux de travailler avec vous pour résoudre ce problème rapidement.

Informez-nous dès que possible dès qu'un problème de sécurité potentiel est

découvert, et nous ferons tout notre possible pour le résoudre rapidement.

Nous accorder un délai raisonnable pour résoudre le problème avant qu'il ne

soit divulgué au public ou à un tiers.

Veuillez ne pas provoqué un DDOS ou de causer une interruption de service

pendant que vous testez notre plate-forme. Et veillez à ne pas mettre en

danger la vie privée de nos membres.

N'essayez pas d'exploiter à outrance le bogue et d'accéder aux données

internes pour d'autres vulnérabilités. Nous déterminerons la gravité et la

récompense en conséquence.

Si vous trouvez la même vulnérabilité plusieurs fois, veuillez créer un seul

rapport et éventuellement utiliser des commentaires. Vous serez récompensé en

fonction de vos découvertes.

Notre application est open source. Le code est disponible sur

https://github.com/dinsic-pim/ pour les clients et sur

https://github.com/matrix-org pour le serveur. Veuillez ne pas notifier les

problèmes de sécurité par l'intermédiaire de github. Les notifications

d'émissions accessibles au public ne seront pas récompensées. Des propositions

de corrections pour des problèmes de sécurité sur le github seront appréciées.

Le calendrier d'engagement doit être discuté au cours du processus

d'évaluation des problèmes de sécurité. Des crédits supplémentaires peuvent

être attribués en cas de demande acceptée.

Quelles sont les informations sensibles sur le serveur (pour un non

participant Tchap) ?

  • Modification d'une clé publique d'un utilisateur

  • Toutes les informations de la base de données, notamment les métadonnées.

Quelles sont les informations sensibles dans un salon privée (pour un non-

participant au salon) ?

  • Toutes les informations : messages, métadonnées et pièces jointes.

  • Clé privée

Sur les téléphones :

Exploitation des vulnérabilités de l'application mobile (IOS & Android)

permettant l'extraction d'informations sur l'utilisateur, ses messages ou

pouvant conduire à une exploitation plus profonde et à des compromis de

l'application Tchap. Les informations Tchap sur le téléphone doivent être

obtenues via un téléphone sans logiciel malveillant, ni téléphone rooter ou

jailbreker, en utilisant les moyens et autorisations offerts à toute

application.

Quelles sont les informations sensibles pour l'application mobile Tchap ?

  • Clé privée

  • Messages

  • Métadonnées d'un salon privé

Hors scope

Veuillez noter que Tchap est hébergé par une tierce partie et que les

vulnérabilités liées à l'hôte ne sont donc pas prises en compte.

Tout site Web qui n'est pas mentionné explicitement dans le champ

d'application.

**Veuillez noter que nous pouvons modifier les modalités de ce programme ou y

mettre fin en tout temps.**

Thanks
Gift
Hall of Fame
Reward


List your Bug Bounty for free immediately!

Contact us if you want more information.

FireBounty (c) 2015-2019